Паранойя для системного администратора является нормальным явлением. Все потенциальные риски рано или поздно срабатывают, последний взлом сайта OpenSSL является тому хорошим подтверждением и, наверное, первым официальным взломом виртуальной машины через уязвимость гипервизора. Я уже описывал вариант блокирования потенциально опасных ip-адресов, сегодня я хочу предложить еще один вариант, с использованием провайдера […]
iptables
7 записей
При использовании очереди sfq в Linux получаем практически честное распределения трафика между пользователям, точнее между сетевыми соединениями пользователей. Получается, что чем больше у пользователя соединений, тем больше скорости он получает, а это значит, что не совсем честные пользователи и p2p получают преимущество. Описанных недостатков лишена очередь esfq, поскольку позволяет разделять […]
По данным Netcraft на момент написания этой записи Apache все еще остается самым популярным веб-сервером и обслуживает 54% всех сайтов интернета. В этой записи я хочу рассказать о двух модулях для веб-сервера Apache, которые позволяют немного повысить безопасность обслуживаемых им сайтов. В качестве примера будем использовать Ubuntu Linux 12.04 Precise […]
Среди стандартных пакетов OpenWRT есть несколько сенсоров NetFlow. fprobe и softflowd базируются на libpcap и основной их недостаток — они не разделяют входящий и исходящий трафик. Альтернативой этим сенсорам выступает форк fprobe который вместо libpcap использует libipulog (iptables ULOG) — fprobe-ulog. Наиболее предпочтительным вариантом является fprobe-ulog, он лишен недостатка сенсоров […]
В интернете множество ресурсов предоставляет списки ip-адресов с которых замечен спам, перебор паролей, вирусная активность. Если по каким-либо объективным причинам (или не объективным) требуется перестраховаться и запретить доступ с таких адресов к своему компьютеру, можно воспользоваться одним из таких ресурсов. Далее приведу пример скрипта автоматически скачивающего последнюю версию списка «плохих» […]
Во многих дистрибутивах, ориентированных на роутеры (openwrt, dd-wrt, ipcop & etc) есть встроенная поддержка QoS. Однако, такой QoS «из коробки» не гибок и адаптирован под интернет-тарифы «цивилизованных» стран, с постоянной скоростью доступа. В нашей же социалистической реальности скорость ночью может быть в 2 раза больше чем днем и терять этот […]
Если у вас есть сервер с белым ip-адресом и открытым портом ssh/ftp — вам доставляют беспокойство боты перебирающее пароли по словарю. Увы, уже давно это суровая реальность. Один из путей избавится от ботов — изменить порт на не стандартный, но это не очень удобно и не всегда уместно. Fail2ban — […]